Fortigate
สำหรับ Manual นี้ จะเริ่มตั้งแต่การ Config Interface LAN ก่อนที่จะเริ่ม Config ตาม Manual นี้ให้ Config ขา WAN เพื่อให้ Fortigate สามารถออกอินเตอร์เน็ตได้ก่อนนะครับ
Last updated
สำหรับ Manual นี้ จะเริ่มตั้งแต่การ Config Interface LAN ก่อนที่จะเริ่ม Config ตาม Manual นี้ให้ Config ขา WAN เพื่อให้ Fortigate สามารถออกอินเตอร์เน็ตได้ก่อนนะครับ
Last updated
การ Config จะประกอบไปด้วย 6 หัวข้อหลักดังนี้
การตั้งค่า Radius เป็นการตั้งค่า Fortigate ให้ Connect กับ Radius Server ของ Seara Cloud
การตั้งค่า User Groups เป็นการตั้งค่าในส่วนของ User ซึ่งจะทำงานร่วมกับ Menu Package บน Seara Cloud ในการตั้งชื่อ User Group ชื่อจะต้องตรงกับชื่อ Package บน Seara Cloud ด้วย ถ้าหากมี Package มากกว่า 1 Package ก็ต้องสร้าง User Group ให้ครบตามจำนวน Package นะครับ
การตั้งค่า Address เป็นการกำหนด Network ของขา LAN เพื่อที่จะนำ Network นี้ไปใช้ในการทำ Captive Portal Policy
การตั้งค่า Interface สำหรับ Internal ( ขา LAN ) เป็นการตั้งค่า Interface ที่จะนำมาใช้สำหรับขา LAN ซึ่งจะรวไปถึงการ Config IP Address ของขา LAN DHCP Server Captive Portal
การ Import SSL Certification เป็นการ Upload file certificate เข้าไปใน Fortigate
การตั้งค่า Firewall Policy เป็นการตกำหนด Policy ต่างๆเพื่อให้ Client สามารถใช้งาน Internet โดยการ Authentication
เพิ่ม Fortigate เข้าไปใน Seara เป็นการเพิ่ม NAS ID ของ Fortigate เข้าไปใน Seara ซึ่ง Login Page และ Radius จะ Call ผ่าน NAS ID ของ Fortigate
##### ในการ Config ควรจะเรียงลำดับตามหัวข้อด้านบนไปที่ละหัวข้อ #####
เลือก Menu User & Authentication
เลือก Menu RADIUS Server
กด Create New
Name : ตั้งชื่อ Radius Server
Authentication method : เลือกเป็น Specify จากนั้นเลือก Authen type เป็น PAP
NAS IP : ใส่ IP Gateway ของขา LAN
Primary Server
IP/NAME : (IP Radius ดูจาก E-Mail ที่ได้รับ)
Secret : (secret ดูจาก E-Mail ที่ได้รับ)
จากนั้นกด Test Connectivity
สังเกตว่า Connection status จะต้องขึ้น Successful
กดที่ >_ Edit in CLI
พิมพ์คำสั่ง config user radius หากพิมพ์ถูกต้องจะขึ้นตามภาพนี้
พิมพ์คำสั่ง edit ตามด้วยชื่อ Radius ที่เราตั้งไว้ก่อนหน้านี้ ตั้วอย่างจะชื่อ Seara Auth หรือพิมพ์คำว่า edit แล้วกด shift+? แล้วจะแสดงชื่อ Radius profile ของเราขึ้นมา
การ Setting Connect To Radius Server Copy คำสั่งไปวางบน Terminal ของ Fortigate ได้เลยครับ
การ Setting Radius Accounting Copy คำสั่งไปวางบน Terminal ของ Fortigate ได้เลยครับ
ถ้าทำครบตามขั้นตอนแล้ว เมื่อพิมพ์คำสั่ง show ควรจะได้ผลตามภาพนี้
ไปที่ Menu User & Authentication
User Groups
กด Create New
ตั้งชื่อ Group
กด Add เพื่อเพิ่ม Radius Server ให้กับ User Group
ตั้งค่าในส่วนของ Radius
Remote Server : เลือก Radius Server ที่เราสร้างก่อนหน้านี้
Groups : เลือกเป็น Specify แล้วตั้งชื่อ Package (ชื่อ Package จะต้องตรงกับ ชื่อ Package บน Seara Cloud)
หากบน Seara Cloud มี Package มากกว่า 1 Package ให้เพิ่ม User Group ขึ้นมาใหม่ให้ครบตามจำนวนของ Package และตั้งชื่อ User Group ให้ตรงกับชื่อ Package บน Seara Cloud ด้วย
เข้าไปที่ Menu Policy & Objects
เลือก Menu Address
กด Create New แล้วเลือก Address
Name : ตั้งชื่อให้กับ Address
Type : เลือก Type เป็น Subnet
IP/Netmask : ใส่ Network และ Subnetmask ของขา LAN
Interface : เลือก any
Create เพิ่มอีก 1 Address
Name : ตั้งชื่อให้กับ Address
Type : เลือก FQDN
FQDN : ใส่ Domain Name ของ Seara ที่ได้รับใน E-Mail ซึ่งในตัวอย่างจะเป็น demo.seara-portal.net
เลือก Interface สำหรับขา LAN ในตัวอย่างจะใช้ Interface ที่ชื่อ Internal 3
Alias : ตั้งชื่อให้กับ Interface
Address : กำหนด IP address สำหรับขา LAN
Administrative Access : ตั้งค่าการเข้าถึง Interface ของขา LAN (ให้ตั้งค่าตามภาพเลยนะครับ)
DHCP status : คลิ๊ก Enable
Address range : ตั้งค่าช่วงของ dhcp ที่ต้องการแจกให้กับ Client
Netmask : ตั้งค่า Subnetmask
DNS server 1 : ตั้งค่า primary dns
DNS server 2 : ตั้งค่า secondary DNS
Security mode : เลือกเป็น Captive Poral
Authentication portal : เลือกเป็น External จากนั้นใส่ Domain Name ของ Seara ที่ได้รับจาก E-Mail แล้วตามด้วย path=/app/portal/login ในตัวอย่าง Domain ชื่อ https://demo.seara-portal.net จากนั้นเติม path เข้าไปก็จะเป็น https://demo.seara-portal.net/app/portal/login
User access : เลือกเป็น Restricted to Groups จากนั้นให้เพิ่ม Package ที่ได้สร้างไว้ก่อนหน้านั้นให้ครบ
Exempt destinations/services : เพิ่ม Address ที่เราได้สร้างไว้ให้ครบ
Redirect after Captive Portal : เลือกเป็น Specific URL จากนั้นใส่ Domain Name ของ Seara ของเรา ตามด้วย Path= /app/portal/welcome ตั้งอย่างจะเป็น https://demo.seara-portal.net/app/portal/welcome
หากตั้งค่าครบแล้วให้กด OK
ไปที่ Menu System
เลือก Menu Certificates
กด Import เลือก Local Certificate
ไปที่ Menu PKCS#12 Certificate
Certificate with key file
Upload file Certificate ของเราเข้าไป (Certificate file ต้องแปลงเป็นไฟล์นามสกุล .pfx ก่อนนะครับ)
จากนั้นกด OK เพื่อ Save
Password : ใส่ Password สำหรับ Certificate File
Certificate name : ต้องชื่อ Domain name
เป็นการตกำหนด Policy ต่างๆเพื่อให้ Client สามารถใช้งาน Internet โดยการ Authentication
ไปที่ Menu Policy & Objects
เลือก Menu Firewall Policy
กด Create New
Name : ตั้งชื่อ Policy
Incoming Interface : เลือก Interface ขา LAN
Outgoing Interface : เลือก Interface ขา WAN
Source : เลือก Address ที่เราสร้างขึ้นมาก่อนหน้านี้
Destination : All
Acction : ACCEPT
Firewall / Network Options
NAT : Enable ให้เป็นสีเขียว
เพิ่ม SSL Certificate ใน Policy
SSL inspection : กด Create
Name : ตั้งชื่อให้กับ SSL
SSL Inspection Otions
Enable SSL Inspection of : เลือกเป็น Protecting SSL Server
Server certificate : เลือก certificate ที่เรา Upload เข้าไปก่อนหน้านี้
Protocol Port Mapping
HTTPS : 443
จากนั้นกด OK เพื่อ Save
SSL Inspection : เลือก Certificate ที่เราได้ตั้งชื่อไว้
จากนั้นกด OK เพื่อ Save Policy
เปิด CLI Console ของ Fortigate ขึ้นมา
พิมพ์คำสั่งตาม Code ด้านล่าง
ตรง set auth-cert ให้ใส่ชื่อ domain ที่เราตั้งไว้ตอน Import certificate file
พิมพ์คำสั่งตาม Code ด้านล่าง
ตรง set portal-addr ให้ใส่ชื่อ domain ที่เราตั้งไว้ตอน Import certificate file
ไปที่ link Domain ของ Seara ที่ได้รับจาก Email ตัวอย่างเช่น https://demo.seara-portal.net
Add Location : เข้าไปที่ Menu Site บน Seara แล้วเพิ่มสถานที่ วิธี Add Location
Add Device : เข้าไปที่ Menu Site บน Seara แล้วกด เพิ่ม NAS จากนั้นทำตามขั้นตอนดังในภาพ
ปล. IP WAN จะต้องเป็น Public IP แบบ Static เท่านั้น
.............................. เสร็จสิ้นการ Config เบื้องต้น ..............................
